Dost

[szpuni]

Witam.

Mam mały problem z serwerem i forwardowaniem portów i z firewallem.

Mam serwer w dwoma łączami gdzie jedno jest używane jako stałe i jedno jako zapasowe.
Gdy serwer działa na normalnym łączu strona www działa normalnie na nim ale jak przełączę na zapasowe to nie mam dostępu do strony z zewnątrz, a z wewnątrz strona się otwiera po adresie kanonicznym.
To kawałek tego skryptu:

Kod: Zaznacz cały

if (defined $num && $num == 0) {
    print "Switching to (main) Eircom line\n";
    print `ip route del default`;
    print `ip route add default via 10.0.0.1`;
   
    print `/usr/local/sbin/rules_init.sh`;
    print `/sbin/iptables -D POSTROUTING 1 -t nat`;
    print `/sbin/iptables -I POSTROUTING -t nat -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j SNAT -m state --state NEW,ESTABLISHED --to-source $ip_eircomsubnet`;

    system("echo \\*\\*\\* We are using the MAIN line \\*\\*\\* > /tmp/linestatus");
}
elsif ($num == 1) {
    print "Switching to (backup) EsatBT line\n";
    print `ip route del default`;
    print `ip route add default via 192.168.2.1`;

    print `/usr/local/sbin/rules_init.sh`;
    print `/sbin/iptables -D POSTROUTING 1 -t nat`;
    print `/sbin/iptables -I POSTROUTING -t nat -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j SNAT -m state --state NEW,ESTABLISHED --to-source $ip_btsubnet`;
   
    system("echo \\*\\*\\* We are using the BACKUP line \\*\\*\\* > /tmp/linestatus");
   
}

To skrypt perla gdy wywołam z opcją 1 nie mogę dostać się do serwera w ogóle.
Domena jest utrzymywana przez ten serwer, nawet pingi z zewnątrz nie odpowiadają.

Do tego jeszcze jest parę reguł firewalla:

Kod: Zaznacz cały

# setup dummy rules for bw monitoring purposes
/usr/local/sbin/rules_bwmon.sh

# setup hooks to send local computers into the bw-monitoring rules
$ipt -A FORWARD -s 192.168.1.0/24 -d \! 192.168.1.0/24 -j UPBWMON
$ipt -A FORWARD -d 192.168.1.0/24 -s \! 192.168.1.0/24 -j DOWNBWMON

#$ipt -A INPUT -s 10.0.0.4 -j UPBWMON
$ipt -A INPUT -d 10.0.0.2 -j DOWNBWMON
$ipt -A OUTPUT -s 10.0.0.2 -j UPBWMON

rules_bwmon.sh wygląda tak:

Kod: Zaznacz cały

$ipt -N UPBWMON
$ipt -N DOWNBWMON

$ipt -A UPBWMON -s 192.168.1.1 -j ACCEPT
$ipt -A UPBWMON -s 10.0.0.2 -j ACCEPT
$ipt -A UPBWMON -s 192.168.1.2 -j ACCEPT
$ipt -A UPBWMON -s 192.168.1.3 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.1 -j ACCEPT
$ipt -A DOWNBWMON -d 10.0.0.2 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.2 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.3 -j ACCEPT

Natowanie jest zrobione na jednym interfejsie, eth0 ma 5 adresów IP jeden z podsieci 10.0.0.0/24, drugi z podsieci 192.168.1.0/24, reszta jest nie istotna.

Bardzo nieciekawa konfiguracja, jak dla mnie trochę zbyt skomplikowana (nie ja to pisałem i robiłem, serwer przejęty po poprzednim administratorze).

Problem jest w tym, że jeżeli użyję opcji 0, ze skryptu brama ustawiona jest na 10.0.0.1 i wszystko działa tylko że nie mogę zalogować się na serwer po adresie z linii zapasowej.

Jeżeli użyję opcji 1, ze skryptu brama ustawiona jest na 192.168.2.1, wtedy nie mam dostępu do serwera poprzez domenę, IP z linii głównej. Wygląda to tak jak by połączenia z 10.0.0.1(ruter w tym przypadku) do 10.0.0.2 (serwer) były blokowane w jakiś dziwny sposób.

Ma ktoś jakiś pomysł bo już mi głowa dymi od tego?

[mariaczi]

Opisałeś wiele ale brakuje mi konkretu jeszcze odnośnie:
1. Każde łącze jest podpięte pod inny interfejs?
2. Czy przełączenie na łącze zapasowe/podstawowe rekonfiguruje interfejs(y) (ich ustawienia)?
Dostępu do strony www nie ma z zewnątrz bo zapewne nie ma do niej trasy albo nie widzi DNSa dla tej stronki jesli ta sama maszyna jest DNSem.